Introducing G2.ai, the future of software buying.Try now
Technologie Glossar

Speicherforensik

Holly Landis
HL
von Holly Landis
Speicherforensik ist eine Form der Cybersicherheitsuntersuchung, die Speicherdaten auf schädliche Aktivitäten überprüft. Lernen Sie, wie Unternehmen ihre Daten schützen können.

In diesem Beitrag

In diesem Beitrag

Was ist Speicherforensik?

Speicherforensik, auch bekannt als Speicheranalyse, ist eine Art digitaler Untersuchung, die ein Gerät auf Beweise für bösartige Software oder einen Cyberangriff überprüft.

Um in den Systemspeicher eines Geräts einzutauchen, wird digitale Forensik-Software verwendet, um einen Schnappschuss oder Speicherabbild der Daten des Arbeitsspeichers (RAM) zur Analyse zu erstellen. Diese flüchtigen Daten sind temporär und verschwinden, sobald das Gerät ausgeschaltet wird. Aus diesem Grund ist ein Speicherabbild der beste Weg, um dauerhaften Zugriff auf diese Informationen für die Durchführung der Untersuchung zu behalten.

Sobald die Daten abgerufen wurden, nehmen Speicherforensiker die Daten mit an einen anderen Ort und bewerten sie auf verdächtige Aktivitäten, die möglicherweise nicht allein in den Festplattendaten offensichtlich sind. Informationen, die während der Analyse gefunden werden, können wertvolle Laufzeiteinblicke in den Status des Systems geben, bevor die Sicherheit kompromittiert wurde. Von dort aus bestimmen sie ihre nächsten Schritte.

Arten der Speicherforensik

Während Speicherforensik eine Art von Untersuchungstechnik ist, kann sie mehrere Erfassungsformate unterstützen. Diese umfassen:

  • RAW-Format. Wenn bösartige Aktivitäten früh genug vermutet werden, möglicherweise durch Bedrohungsjagdansätze, können Ermittler einen Datenschnappschuss direkt aus der Live-Umgebung des Geräts zur Analyse erfassen. Dies ist das am häufigsten verwendete Format in der Speicherforensik.
  • Absturzabbild. Wenn ein Gerät abstürzt, sind seine flüchtigen Daten gefährdet, verloren zu gehen, aber einige digitale Forensik-Tools können diese Informationen danach aus dem Betriebssystem (OS) wiederherstellen.
  • Ruhezustandsdateien. Wenn ein Gerät in den Ruhezustand wechselt, werden einige RAM-Inhalte für das nächste Einschalten des Geräts gespeichert. Eine Ruhezustandsdatei dieser Informationen wird erstellt, was bedeutet, dass Ermittler die Inhalte dieses Speicherabbilds aus dem OS ziehen können.
  • Auslagerungsdateien. Diese Arten von Dateien werden im System-RAM gespeichert und können kopiert werden, um sie später zu überprüfen.
  • VMWare-Schnappschüsse. Für Geräte wie virtuelle Maschinen – das „VM“ in VMWare – kann ein Schnappschuss eines bestimmten Moments in der Speicheranalyse verwendet werden. Ermittler erfassen den genauen Status des Geräts im Moment des Schnappschusses.

Grundlegende Elemente der Speicherforensik

Der Prozess der Speicherforensik ist in die folgenden unterschiedlichen Phasen unterteilt.

  • Speichererfassung ist die Phase der Datenerfassung vom Gerät. Eine Kopie des RAM wird mit digitaler Forensik-Software erstellt, die Zugriff auf das Betriebssystem und die Hardware des Geräts hat. Das Team erstellt einen RAW-Speicherschnappschuss zur Analyse. Mehrere Schnappschüsse können für zeitgestempelte Vergleiche während der Untersuchung gemacht werden.
  • Speicheranalyse ist der Prozess der Überprüfung der Schnappschussdatei und der Suche nach potenziellen Problemen. Jeder Ermittler arbeitet anders, aber gängige Schritte in der Analyse sind das Scannen nach Malware-Signaturen, das Extrahieren von Dateien aus verschiedenen Teilen des Systems und das Wiederherstellen von Daten, die möglicherweise vorübergehend verloren gegangen sind.

Vorteile der Speicherforensik

Cybersicherheit ist ein fortlaufender Prozess, den Unternehmen immer berücksichtigen müssen. Speicheranalyse kann sowohl ein proaktiver als auch ein reaktiver Ansatz sein, mit Vorteilen, die Folgendes umfassen:

  • Erkennung schwer zu entdeckender Malware. Cyberkriminelle werden jeden Tag raffinierter und lernen, wie sie gängige Firewalls und andere Sicherheitssysteme umgehen können. Sobald sie Zugriff auf den RAM eines Geräts haben, können die meisten Systeme sie nicht erkennen. Jede Organisation oder Einzelperson, die sie ins Visier nehmen, ist gefährdet. Speicherforensik ebnet den Weg für eine tiefgehende Untersuchung, um Malware im Herzen des Betriebssystems aufzuspüren.
  • Bereitstellung von Beweisen für echte Angriffe. Der Umgang mit einem Cyberangriff ist herausfordernd, aber der Nachweis eines koordinierten Angriffs hilft, zusätzliche Sicherheitsmitarbeiter oder Ressourcen zu beantragen. Die durch Speicherforensik gefundenen Beweise können der Beweis dafür sein, dass zusätzliche Unterstützung benötigt wird, um das Unternehmen vor weiteren Angriffen zu schützen.
  • Vorbeugung zukünftiger Bedrohungen. Auch wenn es sich auf die Untersuchung bereits geschehener Vorfälle konzentriert, kann die forensische Analyse verwendet werden, um weitere Angriffe zu verhindern. Wenn während eines Speicherabbilds gutartige Systemanomalien gefunden werden, können IT-Teams Patches für Fehler erstellen, bevor sie zu ausnutzbaren Schwachstellen werden.

Best Practices für Speicherforensik

Ermittler können dank der Speicherforensik viele wichtige Informationen aufdecken. Um eine erfolgreiche Untersuchung sicherzustellen, sollten Teams:

  • Im Voraus planen. Ein klares Ziel und einen klaren Umfang der Untersuchung zu haben, macht die Ergebnisse klarer und genauer. Besonders wenn die Untersuchung auf eine vermutete Bedrohung reagiert, kann eine detaillierte Liste von Aufgaben und Schritten Zeit sparen und Probleme schneller finden, sodass Maßnahmen ergriffen werden können, um die Bedrohung zu beseitigen.
  • Alle Schritte dokumentieren. Alle Aktionen, Aufgaben, Werkzeuge und verantwortlichen Personen sollten während einer forensischen Untersuchung notiert werden. Dies hält nicht nur das Team auf Kurs, sondern kann auch später herangezogen werden, wenn zusätzliche Probleme auftreten.
  • Ergebnisse validieren. Sobald Beweise gesammelt sind, validieren Sie die Ergebnisse gegen andere Untersuchungen und lassen Sie Teammitglieder, die die ursprünglichen Daten nicht gesammelt haben, einen zweiten Blick auf die Ergebnisse werfen. Dies kann die Genauigkeit der Ergebnisse bestätigen und gleichzeitig Zuverlässigkeit bieten. Konsistenz ist in der Speicherforensik entscheidend, da diese Beweise mit zukünftigen Untersuchungen verglichen werden können.

Überwachen Sie kontinuierlich mögliche Cyberbedrohungen und halten Sie Ihr Unternehmen mit Angriffsflächen-Management-Software sicher.

Holly Landis
HL

Holly Landis

Holly Landis is a freelance writer for G2. She also specializes in being a digital marketing consultant, focusing in on-page SEO, copy, and content writing. She works with SMEs and creative businesses that want to be more intentional with their digital strategies and grow organically on channels they own. As a Brit now living in the USA, you'll usually find her drinking copious amounts of tea in her cherished Anne Boleyn mug while watching endless reruns of Parks and Rec.